第4章身份鑒別

1、第第4章章 身份鑒別身份鑒別身份鑒別身份鑒別(Authentication)v解決你是誰的問題解決你是誰的問題v身份鑒別包括身份標(biāo)識身份鑒別包括身份標(biāo)識(Identification)和身和身份鑒別份鑒別(Authentication)兩部分兩部分v身份標(biāo)識，即確定你是誰并簽發(fā)一個(gè)身份憑身份標(biāo)識，即確定你是誰并簽發(fā)一個(gè)身份憑證，如身份證、用戶名證，如身份證、用戶名/口令、數(shù)字證書口令、數(shù)字證書v身份鑒別，即根據(jù)你提交的身份憑證，驗(yàn)證身份鑒別，即根據(jù)你提交的身份憑證，驗(yàn)證確定你就是你聲稱的人，而不是假冒者確定你就是你聲稱的人，而不是假冒者v不同的身份標(biāo)識手段，確定了不同的身份鑒不同的身份標(biāo)識手段

2、，確定了不同的身份鑒別方法、技術(shù)別方法、技術(shù)身份鑒別中驗(yàn)證的用戶特定信息身份鑒別中驗(yàn)證的用戶特定信息v用戶所知道的特定信息，如口令、密碼用戶所知道的特定信息，如口令、密碼v用戶所擁有或持有的特定信息，如動(dòng)態(tài)口令用戶所擁有或持有的特定信息，如動(dòng)態(tài)口令令牌、令牌、USB Keyv用戶所具有的個(gè)人特征，如指紋、虹膜、面用戶所具有的個(gè)人特征，如指紋、虹膜、面像像身份鑒別技術(shù)、方案或協(xié)議身份鑒別技術(shù)、方案或協(xié)議v身份鑒別技術(shù)，指最基本、基礎(chǔ)的技術(shù)身份鑒別技術(shù)，指最基本、基礎(chǔ)的技術(shù)v身份鑒別方案或協(xié)議，指在技術(shù)上構(gòu)建的具身份鑒別方案或協(xié)議，指在技術(shù)上構(gòu)建的具體方式和流程體方式和流程常用的身份鑒別技術(shù)常用的

3、身份鑒別技術(shù)v用戶名用戶名/口令口令靜態(tài)口令靜態(tài)口令v普通方式普通方式v挑戰(zhàn)、響應(yīng)方式挑戰(zhàn)、響應(yīng)方式動(dòng)態(tài)口令動(dòng)態(tài)口令v密碼技術(shù)密碼技術(shù)對稱密鑰對稱密鑰非對稱密鑰非對稱密鑰v生物特征生物特征指紋、虹膜、面像指紋、虹膜、面像用戶名用戶名/口令身份鑒別口令身份鑒別普通靜態(tài)口令身份鑒別普通靜態(tài)口令身份鑒別用戶名用戶名/口令口令用戶名用戶名/口令口令普通靜態(tài)口令身份鑒別普通靜態(tài)口令身份鑒別用戶名用戶名/口令散列值口令散列值用戶名用戶名/口令散列值口令散列值挑戰(zhàn)挑戰(zhàn)-響應(yīng)式靜態(tài)口令身份鑒別響應(yīng)式靜態(tài)口令身份鑒別用戶名用戶名/口令口令挑戰(zhàn)挑戰(zhàn)-響應(yīng)式靜態(tài)口令身份鑒別響應(yīng)式靜態(tài)口令身份鑒別用隨機(jī)串和口用隨機(jī)串

4、和口令生成散列值令生成散列值(HMAC)請求登錄請求登錄返回隨機(jī)串返回隨機(jī)串提交用戶名及散列值提交用戶名及散列值用戶端用戶端從數(shù)據(jù)庫獲取從數(shù)據(jù)庫獲取用戶口令用戶口令用之前返回的隨機(jī)用之前返回的隨機(jī)串和獲取的口令生串和獲取的口令生成散列值，比較是成散列值，比較是否相同否相同允許或拒絕用戶訪問允許或拒絕用戶訪問用戶名用戶名/口令口令靜態(tài)口令的安全性靜態(tài)口令的安全性v口令復(fù)雜難記憶，用戶常采用簡單的口令，口令復(fù)雜難記憶，用戶常采用簡單的口令，如個(gè)人的生日、電話，易于被猜測、破解，如個(gè)人的生日、電話，易于被猜測、破解，如通過社會(huì)工程學(xué)破解如通過社會(huì)工程學(xué)破解v易于被木馬監(jiān)聽易于被木馬監(jiān)聽v若口令采用明

5、文方式傳輸，則易于被截獲若口令采用明文方式傳輸，則易于被截獲v若口令以明文保存在數(shù)據(jù)庫中，則容易遭受若口令以明文保存在數(shù)據(jù)庫中，則容易遭受來自外部和內(nèi)部的攻擊、竊取來自外部和內(nèi)部的攻擊、竊取靜態(tài)口令的特點(diǎn)靜態(tài)口令的特點(diǎn)v優(yōu)點(diǎn)優(yōu)點(diǎn)v操作使用簡單操作使用簡單v用戶不需要額外裝置用戶不需要額外裝置v缺點(diǎn)缺點(diǎn)不安全不安全動(dòng)態(tài)口令身份鑒別動(dòng)態(tài)口令身份鑒別v基于時(shí)間的動(dòng)態(tài)口令基于時(shí)間的動(dòng)態(tài)口令v基于挑戰(zhàn)碼的動(dòng)態(tài)口令基于挑戰(zhàn)碼的動(dòng)態(tài)口令v手機(jī)一次性口令手機(jī)一次性口令動(dòng)態(tài)口令系統(tǒng)的組成動(dòng)態(tài)口令系統(tǒng)的組成動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)動(dòng)態(tài)口令系統(tǒng)的組成動(dòng)態(tài)口令系統(tǒng)的組成種子

6、密鑰種子密鑰動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器種子密鑰種子密鑰動(dòng)態(tài)口令令牌與動(dòng)態(tài)口令服務(wù)器之間共享動(dòng)態(tài)口令令牌與動(dòng)態(tài)口令服務(wù)器之間共享一個(gè)秘密，稱為動(dòng)態(tài)口令種子密鑰一個(gè)秘密，稱為動(dòng)態(tài)口令種子密鑰應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)基于時(shí)間的動(dòng)態(tài)口令身份鑒別基于時(shí)間的動(dòng)態(tài)口令身份鑒別種子密鑰種子密鑰動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器種子密鑰種子密鑰從某個(gè)參考時(shí)間點(diǎn)開始，將時(shí)間分成一個(gè)個(gè)的時(shí)間段，如按從某個(gè)參考時(shí)間點(diǎn)開始，將時(shí)間分成一個(gè)個(gè)的時(shí)間段，如按1秒、秒、15秒、秒、30秒，并給每個(gè)時(shí)間段編號秒，并給每個(gè)時(shí)間段編號12165166應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)基于時(shí)間的動(dòng)態(tài)口令身份鑒別基于

7、時(shí)間的動(dòng)態(tài)口令身份鑒別種子密鑰種子密鑰動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器種子密鑰種子密鑰請求訪問請求訪問要求身份鑒別要求身份鑒別應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)基于時(shí)間的動(dòng)態(tài)口令身份鑒別基于時(shí)間的動(dòng)態(tài)口令身份鑒別種子密鑰種子密鑰動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器種子密鑰種子密鑰動(dòng)態(tài)口令令牌用當(dāng)前時(shí)刻對應(yīng)的時(shí)間段所動(dòng)態(tài)口令令牌用當(dāng)前時(shí)刻對應(yīng)的時(shí)間段所對應(yīng)的編號和種子密鑰采用單向不可逆函對應(yīng)的編號和種子密鑰采用單向不可逆函數(shù)數(shù)(如散列函數(shù)如散列函數(shù))生成一個(gè)字節(jié)串，并將字節(jié)生成一個(gè)字節(jié)串，并將字節(jié)串轉(zhuǎn)化為可顯示的字符，即動(dòng)態(tài)口令串轉(zhuǎn)化為可顯示的字符，即動(dòng)態(tài)口令應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)基

8、于時(shí)間的動(dòng)態(tài)口令身份鑒別基于時(shí)間的動(dòng)態(tài)口令身份鑒別種子密鑰種子密鑰動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器種子密鑰種子密鑰用戶輸入用戶名用戶輸入用戶名/動(dòng)動(dòng)態(tài)口令到登錄客端態(tài)口令到登錄客端應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)基于時(shí)間的動(dòng)態(tài)口令身份鑒別基于時(shí)間的動(dòng)態(tài)口令身份鑒別種子密鑰種子密鑰動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器種子密鑰種子密鑰提交用戶名提交用戶名/動(dòng)態(tài)口令動(dòng)態(tài)口令應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)基于時(shí)間的動(dòng)態(tài)口令身份鑒別基于時(shí)間的動(dòng)態(tài)口令身份鑒別種子密鑰種子密鑰動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器請求動(dòng)態(tài)口令驗(yàn)證請求動(dòng)態(tài)口令驗(yàn)證種子密鑰種子密鑰應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)基于時(shí)間的

9、動(dòng)態(tài)口令身份鑒別基于時(shí)間的動(dòng)態(tài)口令身份鑒別種子密鑰種子密鑰動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器種子密鑰種子密鑰動(dòng)態(tài)口令服務(wù)器利用用戶的種子密鑰和同動(dòng)態(tài)口令服務(wù)器利用用戶的種子密鑰和同樣的方式生成動(dòng)態(tài)口令，并比較待驗(yàn)證的樣的方式生成動(dòng)態(tài)口令，并比較待驗(yàn)證的動(dòng)態(tài)口令和自己生成的動(dòng)態(tài)口令是否相同動(dòng)態(tài)口令和自己生成的動(dòng)態(tài)口令是否相同應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)基于時(shí)間的動(dòng)態(tài)口令身份鑒別基于時(shí)間的動(dòng)態(tài)口令身份鑒別種子密鑰種子密鑰動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器種子密鑰種子密鑰返回驗(yàn)證結(jié)果返回驗(yàn)證結(jié)果應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)基于時(shí)間的動(dòng)態(tài)口令身份鑒別基于時(shí)間的動(dòng)態(tài)口令身份鑒別種子密鑰種子密

10、鑰動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器種子密鑰種子密鑰拒絕或允許用戶訪問拒絕或允許用戶訪問應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)基于時(shí)間的動(dòng)態(tài)口令的時(shí)間同步問題基于時(shí)間的動(dòng)態(tài)口令的時(shí)間同步問題v動(dòng)態(tài)口令令牌與動(dòng)態(tài)口令服務(wù)需盡可能的時(shí)動(dòng)態(tài)口令令牌與動(dòng)態(tài)口令服務(wù)需盡可能的時(shí)間同步間同步v無法保證完全同步，動(dòng)態(tài)口令服務(wù)在驗(yàn)證口無法保證完全同步，動(dòng)態(tài)口令服務(wù)在驗(yàn)證口令不成功時(shí)，需要在誤差范圍內(nèi)考慮可能的令不成功時(shí)，需要在誤差范圍內(nèi)考慮可能的備選時(shí)間段序號備選時(shí)間段序號基于挑戰(zhàn)碼的動(dòng)態(tài)口令生成基于挑戰(zhàn)碼的動(dòng)態(tài)口令生成種子密鑰種子密鑰動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器種子密鑰種子密鑰應(yīng)用系統(tǒng)應(yīng)

11、用系統(tǒng)基于挑戰(zhàn)碼的動(dòng)態(tài)口令生成基于挑戰(zhàn)碼的動(dòng)態(tài)口令生成種子密鑰種子密鑰動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器種子密鑰種子密鑰請求登錄請求登錄要求身份鑒別并要求身份鑒別并返回隨機(jī)字串返回隨機(jī)字串應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)基于挑戰(zhàn)碼的動(dòng)態(tài)口令生成基于挑戰(zhàn)碼的動(dòng)態(tài)口令生成種子密鑰種子密鑰動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器種子密鑰種子密鑰用戶將返回的隨機(jī)串字用戶將返回的隨機(jī)串字輸入到動(dòng)態(tài)口令令牌輸入到動(dòng)態(tài)口令令牌應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)基于挑戰(zhàn)碼的動(dòng)態(tài)口令生成基于挑戰(zhàn)碼的動(dòng)態(tài)口令生成種子密鑰種子密鑰動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器種子密鑰種子密鑰動(dòng)態(tài)口令令牌用返回的隨

12、機(jī)字串、種子密鑰動(dòng)態(tài)口令令牌用返回的隨機(jī)字串、種子密鑰和單向不可逆函數(shù)和單向不可逆函數(shù)(如散列函數(shù)如散列函數(shù))生成一個(gè)字生成一個(gè)字節(jié)串，并將字節(jié)串轉(zhuǎn)化為可顯示的字符，即節(jié)串，并將字節(jié)串轉(zhuǎn)化為可顯示的字符，即動(dòng)態(tài)口令動(dòng)態(tài)口令應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)基于挑戰(zhàn)碼的動(dòng)態(tài)口令生成基于挑戰(zhàn)碼的動(dòng)態(tài)口令生成種子密鑰種子密鑰動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器種子密鑰種子密鑰用戶輸入用戶名用戶輸入用戶名/動(dòng)動(dòng)態(tài)口令到登錄客戶端態(tài)口令到登錄客戶端應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)基于挑戰(zhàn)碼的動(dòng)態(tài)口令生成基于挑戰(zhàn)碼的動(dòng)態(tài)口令生成種子密鑰種子密鑰動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器種子密鑰種子密鑰提交用戶名提

13、交用戶名/動(dòng)態(tài)口令動(dòng)態(tài)口令應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)基于挑戰(zhàn)碼的動(dòng)態(tài)口令生成基于挑戰(zhàn)碼的動(dòng)態(tài)口令生成種子密鑰種子密鑰動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器請求動(dòng)態(tài)口令驗(yàn)證請求動(dòng)態(tài)口令驗(yàn)證種子密鑰種子密鑰請求中包含返回請求中包含返回給用戶的隨機(jī)串給用戶的隨機(jī)串基于挑戰(zhàn)碼的動(dòng)態(tài)口令生成基于挑戰(zhàn)碼的動(dòng)態(tài)口令生成種子密鑰種子密鑰動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器種子密鑰種子密鑰動(dòng)態(tài)口令服務(wù)器使用用戶的種子密鑰和返動(dòng)態(tài)口令服務(wù)器使用用戶的種子密鑰和返回到用戶的隨機(jī)串用同樣的方式生成動(dòng)態(tài)回到用戶的隨機(jī)串用同樣的方式生成動(dòng)態(tài)口令，并比較待驗(yàn)證的動(dòng)態(tài)口令和自己生口令，并比較待驗(yàn)證的動(dòng)態(tài)口

14、令和自己生成的動(dòng)態(tài)口令是否相同成的動(dòng)態(tài)口令是否相同應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)基于挑戰(zhàn)碼的動(dòng)態(tài)口令生成基于挑戰(zhàn)碼的動(dòng)態(tài)口令生成種子密鑰種子密鑰動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器種子密鑰種子密鑰返回驗(yàn)證結(jié)果返回驗(yàn)證結(jié)果應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)基于挑戰(zhàn)碼的動(dòng)態(tài)口令生成基于挑戰(zhàn)碼的動(dòng)態(tài)口令生成種子密鑰種子密鑰動(dòng)態(tài)口令令牌動(dòng)態(tài)口令令牌動(dòng)態(tài)口令動(dòng)態(tài)口令服務(wù)器服務(wù)器種子密鑰種子密鑰拒絕或允許用戶訪問拒絕或允許用戶訪問應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)手機(jī)動(dòng)態(tài)口令身份鑒別手機(jī)動(dòng)態(tài)口令身份鑒別用戶手機(jī)接用戶手機(jī)接收隨機(jī)碼收隨機(jī)碼提交用戶名請求登錄提交用戶名請求登錄返回隨機(jī)碼到用戶手機(jī)返回隨機(jī)碼到用戶手機(jī)提交用戶名、隨機(jī)碼提交用戶

15、名、隨機(jī)碼用戶端用戶端用之前返用之前返回的隨機(jī)回的隨機(jī)比較比較允許或拒絕用戶訪問允許或拒絕用戶訪問用戶名用戶名/用戶手機(jī)號用戶手機(jī)號應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)動(dòng)態(tài)口令的安全性動(dòng)態(tài)口令的安全性v比靜態(tài)口令安全比靜態(tài)口令安全v基于時(shí)間的動(dòng)態(tài)口令不能抵御重播攻擊基于時(shí)間的動(dòng)態(tài)口令不能抵御重播攻擊v無法抵御中間人攻擊無法抵御中間人攻擊v無法抵御用戶端的木馬攔截?zé)o法抵御用戶端的木馬攔截 動(dòng)態(tài)口令的攻擊動(dòng)態(tài)口令的攻擊，如盛大密寶遭到攻擊，造成用戶上百萬的，如盛大密寶遭到攻擊，造成用戶上百萬的損失損失動(dòng)態(tài)口令的特點(diǎn)動(dòng)態(tài)口令的特點(diǎn)v優(yōu)點(diǎn)優(yōu)點(diǎn)比普通口令安全性高比普通口令安全性高用戶操作使用方便用戶操作使用方便v缺點(diǎn)缺點(diǎn)需

16、要額外系統(tǒng)和裝置，費(fèi)用較高需要額外系統(tǒng)和裝置，費(fèi)用較高挑戰(zhàn)碼模式需要用戶輸入挑戰(zhàn)碼挑戰(zhàn)碼模式需要用戶輸入挑戰(zhàn)碼(隨機(jī)字符串隨機(jī)字符串)的的額外操作額外操作基于密碼技術(shù)的身份鑒別基于密碼技術(shù)的身份鑒別基于對稱密鑰的身份鑒別方案基于對稱密鑰的身份鑒別方案v基于挑戰(zhàn)基于挑戰(zhàn)-應(yīng)答方式的鑒別協(xié)議應(yīng)答方式的鑒別協(xié)議vNeedham-Schroeder協(xié)議協(xié)議vKerberos身份鑒別系統(tǒng)身份鑒別系統(tǒng)基于挑戰(zhàn)基于挑戰(zhàn)-應(yīng)答方式的對稱密鑰鑒別協(xié)議應(yīng)答方式的對稱密鑰鑒別協(xié)議-加密加密用用k對隨機(jī)串對隨機(jī)串加密加密請求建立連接請求建立連接返回隨機(jī)串返回隨機(jī)串提交加密的隨機(jī)串提交加密的隨機(jī)串AB比較之前返回的隨比

17、較之前返回的隨機(jī)串和解密獲得隨機(jī)串和解密獲得隨機(jī)串是否一致機(jī)串是否一致允許或拒絕連接允許或拒絕連接A、B共享密鑰共享密鑰k用用k對加密的對加密的隨機(jī)串解密隨機(jī)串解密基于挑戰(zhàn)基于挑戰(zhàn)-應(yīng)答方式的對稱密鑰鑒別協(xié)議應(yīng)答方式的對稱密鑰鑒別協(xié)議-簽名簽名用用k對隨機(jī)串對隨機(jī)串HMAC簽名簽名請求建立連接請求建立連接返回隨機(jī)串返回隨機(jī)串提交提交HMAC的隨機(jī)串的隨機(jī)串AB比較接收到隨機(jī)串比較接收到隨機(jī)串的的HMAC與自己計(jì)與自己計(jì)算的算的HMAC是否一是否一致致允許或拒絕連接允許或拒絕連接A、B共享密鑰共享密鑰k用用k對隨機(jī)串對隨機(jī)串HMAC簽名簽名Needham-Schroeder協(xié)議協(xié)議ASAuthe

18、ntication Server共享共享Ka共享共享KbAB會(huì)話會(huì)話Ks生成生成Needham-Schroeder協(xié)議交互過程協(xié)議交互過程IDA | IDB | N1ABAS生成生成ks用用kb解密獲解密獲得得ks用用ks解密獲解密獲得得N2用用ks解密解密f(N2)與自己計(jì)算與自己計(jì)算的的f(N2)比較比較E (ks | N1 | E (ks | IDA)kakbE (ks | IDA)kbE (N2)ksE (f(N2)ks解密獲得解密獲得ks, N1和和E (ks | IDA)kb拒絕或允許連接拒絕或允許連接比較比較N1Kerberos身份鑒別系統(tǒng)身份鑒別系統(tǒng)CASTGSVKDC密鑰分發(fā)

19、中心密鑰分發(fā)中心Key Distribution Center票據(jù)簽發(fā)服務(wù)票據(jù)簽發(fā)服務(wù)Ticket Grant Service鑒別服務(wù)器鑒別服務(wù)器Authentication Service身份鑒別獲得訪身份鑒別獲得訪問問TGS的票據(jù)的票據(jù)訪問訪問TGS獲得訪問獲得訪問應(yīng)用服務(wù)器的票據(jù)應(yīng)用服務(wù)器的票據(jù)使用票據(jù)訪問應(yīng)用服務(wù)器使用票據(jù)訪問應(yīng)用服務(wù)器用戶用戶應(yīng)用服務(wù)器應(yīng)用服務(wù)器密鑰庫密鑰庫Kerberos協(xié)議交互過程協(xié)議交互過程IDC | IDtgs | TS1用戶用戶CAS生成生成kc,tgsE (kc,tgs | IDtgs | TS2 | Lifetime2 | Tickettgs) kcID

20、C：用戶：用戶C的標(biāo)識的標(biāo)識(用戶名用戶名)IDtgs ：TGS的標(biāo)識的標(biāo)識TS1 ：時(shí)間戳：時(shí)間戳1kc,tgs：AS生成的用戶生成的用戶C和和TGS間的隨機(jī)會(huì)話密鑰間的隨機(jī)會(huì)話密鑰TS2 ：時(shí)間戳：時(shí)間戳2Lifetime2：票據(jù)：票據(jù)Tickettgs的有效時(shí)間的有效時(shí)間Tickettgs：訪問：訪問TGS的票據(jù)，有效期內(nèi)可重復(fù)用的票據(jù)，有效期內(nèi)可重復(fù)用Tickettgs =E (kc,tgs | IDc | ADc | IDtgs | TS2 | Lifetime2) KtgsADc：用戶：用戶C的網(wǎng)絡(luò)地址的網(wǎng)絡(luò)地址Kerberos協(xié)議交互過程協(xié)議交互過程用戶用戶CTGSE (kc,v

21、 | IDv | TS4 | Ticketv) kc,tgsIDv | Tickettgs | Authenticator IDv：服務(wù)器：服務(wù)器V的標(biāo)識的標(biāo)識Authenticator：用戶端生成，用于請求驗(yàn)證：用戶端生成，用于請求驗(yàn)證Authenticator =E (IDc | ADc | TS3) kc,tgsTS4 ：時(shí)間戳：時(shí)間戳4kc,v：TGS生成的用戶生成的用戶C和服務(wù)器和服務(wù)器V間的隨機(jī)會(huì)話密鑰間的隨機(jī)會(huì)話密鑰Ticketv：訪問服務(wù)器：訪問服務(wù)器V的票據(jù)的票據(jù)Ticketv =E (kc,v | IDc | ADc | IDv | TS4 | Lifetime4) kv生

22、成生成kc,vKerberos協(xié)議交互過程協(xié)議交互過程用戶用戶C服務(wù)器服務(wù)器VE (TS4+1) kc,vTicketv | Authenticator Ticketv：訪問服務(wù)器：訪問服務(wù)器V的票據(jù)的票據(jù)Authenticator：用戶端生成，用于請求驗(yàn)證：用戶端生成，用于請求驗(yàn)證Authenticator =E (IDc | ADc | TS5) kc,v為什么要引入為什么要引入TGS？v訪問不同應(yīng)用系統(tǒng)時(shí)避免在鑒別服務(wù)器重復(fù)訪問不同應(yīng)用系統(tǒng)時(shí)避免在鑒別服務(wù)器重復(fù)登錄，實(shí)現(xiàn)單點(diǎn)登錄登錄，實(shí)現(xiàn)單點(diǎn)登錄(Single Sign On，SSO)v便于跨域登錄！便于跨域登錄！Windows域域(D

23、omain)的登錄鑒別的登錄鑒別vWindows系統(tǒng)域是一個(gè)由網(wǎng)絡(luò)和計(jì)算設(shè)備互聯(lián)系統(tǒng)域是一個(gè)由網(wǎng)絡(luò)和計(jì)算設(shè)備互聯(lián)構(gòu)成的一個(gè)邏輯安全區(qū)域構(gòu)成的一個(gè)邏輯安全區(qū)域vWindows 2000以前，域登錄采用以前，域登錄采用NT局域網(wǎng)管局域網(wǎng)管理器理器(NT LAN Manager，簡稱，簡稱NTLM)， NTLM身份鑒別采用口令的挑戰(zhàn)身份鑒別采用口令的挑戰(zhàn)-響應(yīng)方式響應(yīng)方式vWindows 2000以后，采用域控制器以后，采用域控制器(Domain Controller，DC)，DC身份鑒別采用身份鑒別采用Kerberosv以前以前Windows的域控制器與活動(dòng)目錄的域控制器與活動(dòng)目錄(Active

24、Directory，AD)是分離的，是分離的，AD用于存放用戶信用于存放用戶信息，現(xiàn)在域控制器已集成到活動(dòng)目錄中息，現(xiàn)在域控制器已集成到活動(dòng)目錄中基于公鑰密碼技術(shù)的身份鑒別協(xié)議基于公鑰密碼技術(shù)的身份鑒別協(xié)議v基于加密的公鑰單向身份鑒別協(xié)議基于加密的公鑰單向身份鑒別協(xié)議v基于加密的公鑰雙向身份鑒別協(xié)議基于加密的公鑰雙向身份鑒別協(xié)議(Needham-Schroeder)v基于簽名的單向公鑰身份鑒別協(xié)議基于簽名的單向公鑰身份鑒別協(xié)議v基于簽名的雙向公鑰身份鑒別協(xié)議基于簽名的雙向公鑰身份鑒別協(xié)議v基于基于CA數(shù)字簽名的身份鑒別協(xié)議數(shù)字簽名的身份鑒別協(xié)議基于加密的公鑰單向身份鑒別協(xié)議基于加密的公鑰單向身

25、份鑒別協(xié)議ABIDa E (Rb) KUa用私鑰用私鑰KSa解密獲得解密獲得RbE (Rb) KUb用私鑰用私鑰KSb解密獲得解密獲得Rb比較比較Rb允許或拒絕連接允許或拒絕連接基于加密的公鑰雙向身份鑒別協(xié)議基于加密的公鑰雙向身份鑒別協(xié)議ABE (IDa | Ra) KUbE (Ra | Rb) KUa用用KSa解密獲得解密獲得Ra, Rb用用KSb解密解密獲得獲得IDa , Ra E (Rb) KUbKSb解密解密獲得獲得Rb比較比較Rb允許或拒絕連接允許或拒絕連接比較比較Ra基于簽名的公鑰單向身份鑒別協(xié)議基于簽名的公鑰單向身份鑒別協(xié)議ABIDaRb 比較比較Rb，用，用KUa驗(yàn)證驗(yàn)證A簽簽

26、名有效性名有效性E (IDa | Rb) KSa允許或拒絕連接允許或拒絕連接基于簽名的公鑰雙向身份鑒別協(xié)議基于簽名的公鑰雙向身份鑒別協(xié)議AB IDa | Ra E (Ra | IDa) | Rb KSb比較比較Ra，用，用KUb驗(yàn)證驗(yàn)證B簽名有效性簽名有效性比較比較Rb，用，用KUa驗(yàn)證驗(yàn)證A簽簽名有效性名有效性E (IDa | Rb) KSa允許或拒絕連接允許或拒絕連接公鑰身份鑒別協(xié)議的問題公鑰身份鑒別協(xié)議的問題v如何獲取他人的公鑰并確保公鑰屬于聲稱的如何獲取他人的公鑰并確保公鑰屬于聲稱的人？人？PKI/CA安全體系安全體系vPKI(Public Key Infrastructure),公鑰

27、基礎(chǔ)設(shè)公鑰基礎(chǔ)設(shè)施，一個(gè)安全技術(shù)體系和一個(gè)安全信任體系施，一個(gè)安全技術(shù)體系和一個(gè)安全信任體系vPKI的核心是的核心是CA(Certification Authority，認(rèn)證中心認(rèn)證中心)，由，由CA簽發(fā)和發(fā)布證明最終實(shí)體簽發(fā)和發(fā)布證明最終實(shí)體(End-Entity)擁有公鑰的數(shù)字證書擁有公鑰的數(shù)字證書(Digital Certificate)v數(shù)字證書的目的是將公鑰與用戶或?qū)嶓w綁定數(shù)字證書的目的是將公鑰與用戶或?qū)嶓w綁定，并限定公鑰的用途，其格式是，并限定公鑰的用途，其格式是X509v數(shù)字證書由數(shù)字證書由CA證書認(rèn)證機(jī)構(gòu)通過證書認(rèn)證機(jī)構(gòu)通過CA證書認(rèn)證書認(rèn)證系統(tǒng)簽發(fā)證系統(tǒng)簽發(fā)X509數(shù)字證書的

28、內(nèi)容數(shù)字證書的內(nèi)容版本號版本號證書序列號證書序列號(證書簽名證書簽名)算法標(biāo)識算法標(biāo)識簽發(fā)者簽發(fā)者有效期有效期證書主體證書主體主體公鑰信息主體公鑰信息簽發(fā)者唯一標(biāo)識簽發(fā)者唯一標(biāo)識主體唯一標(biāo)識主體唯一標(biāo)識擴(kuò)展項(xiàng)擴(kuò)展項(xiàng)數(shù)字簽名數(shù)字簽名算法算法OID參數(shù)參數(shù)生效時(shí)間生效時(shí)間終止時(shí)間終止時(shí)間算法標(biāo)識算法標(biāo)識公鑰數(shù)據(jù)公鑰數(shù)據(jù)算法標(biāo)識算法標(biāo)識簽名數(shù)據(jù)簽名數(shù)據(jù)CA認(rèn)證中心或認(rèn)證中心或CA系統(tǒng)系統(tǒng)中的一個(gè)邏輯實(shí)體中的一個(gè)邏輯實(shí)體最終用戶或?qū)嶓w最終用戶或?qū)嶓w用簽發(fā)者的私鑰簽名用簽發(fā)者的私鑰簽名用簽發(fā)者的公鑰驗(yàn)證用簽發(fā)者的公鑰驗(yàn)證簽名簽名如何發(fā)布簽發(fā)者的公鑰如何發(fā)布簽發(fā)者的公鑰v簽發(fā)者的公鑰通過簽發(fā)者的數(shù)字證書發(fā)

29、布簽發(fā)者的公鑰通過簽發(fā)者的數(shù)字證書發(fā)布v簽發(fā)者的數(shù)字證書稱為簽發(fā)者的數(shù)字證書稱為CA證書證書v簽發(fā)者的數(shù)字證書簽發(fā)者的數(shù)字證書(即即CA證書證書)或者由上級簽或者由上級簽發(fā)者發(fā)者(稱為上級稱為上級CA)的私鑰簽名，并用上級簽的私鑰簽名，并用上級簽發(fā)者的公鑰驗(yàn)證，或者簽發(fā)者用自己的私鑰發(fā)者的公鑰驗(yàn)證，或者簽發(fā)者用自己的私鑰簽名簽名(稱為根稱為根CA證書，也稱自簽名證書，也稱自簽名CA證書證書)，并用簽發(fā)者用自己的公鑰驗(yàn)證并用簽發(fā)者用自己的公鑰驗(yàn)證v上級簽發(fā)者的公鑰也通過上級簽發(fā)者的公鑰也通過CA證書發(fā)布證書發(fā)布v.v形成一個(gè)證書鏈形成一個(gè)證書鏈證書鏈證書鏈(路徑路徑)驗(yàn)簽驗(yàn)簽驗(yàn)簽驗(yàn)簽簽名簽名簽名

30、簽名驗(yàn)簽驗(yàn)簽版本號版本號證書序列號證書序列號簽發(fā)者簽發(fā)者有效期有效期證書主體證書主體主體公鑰信息主體公鑰信息數(shù)字簽名數(shù)字簽名最終實(shí)體證書最終實(shí)體證書私鑰私鑰版本號版本號證書序列號證書序列號簽發(fā)者簽發(fā)者有效期有效期證書主體證書主體主體公鑰信息主體公鑰信息數(shù)字簽名數(shù)字簽名簽發(fā)簽發(fā)CA證書證書私鑰私鑰版本號版本號證書序列號證書序列號簽發(fā)者簽發(fā)者有效期有效期證書主體證書主體主體公鑰信息主體公鑰信息數(shù)字簽名數(shù)字簽名上級或根上級或根CA證書證書私鑰私鑰證書鏈證書鏈(路徑路徑)最終實(shí)體證書最終實(shí)體證書簽發(fā)簽發(fā)CA證書證書中級中級CA證書證書根根CA證書證書私鑰私鑰私鑰私鑰私鑰私鑰私鑰私鑰證書證書(信任信任)

31、體系體系用戶證書用戶證書簽發(fā)簽發(fā)CA證書證書中級中級CA證書證書根根CA證書證書服務(wù)器證書服務(wù)器證書簽發(fā)簽發(fā)CA證書證書中級中級CA證書證書IPSec證書證書簽發(fā)簽發(fā)CA證書證書中級中級CA證書證書單證書和雙證書體系單證書和雙證書體系v單證書體系，即一個(gè)最終用戶證書既用于數(shù)單證書體系，即一個(gè)最終用戶證書既用于數(shù)據(jù)加密，又用于數(shù)字簽名據(jù)加密，又用于數(shù)字簽名v雙證書體系，即一個(gè)最終用戶有兩個(gè)證書，雙證書體系，即一個(gè)最終用戶有兩個(gè)證書，一個(gè)用于數(shù)據(jù)加密，另一個(gè)用于數(shù)字簽名一個(gè)用于數(shù)據(jù)加密，另一個(gè)用于數(shù)字簽名v單證書體系中的最終用戶證書的密鑰對通常單證書體系中的最終用戶證書的密鑰對通常是在用戶端產(chǎn)生，

32、私鑰損壞、丟失不能恢復(fù)是在用戶端產(chǎn)生，私鑰損壞、丟失不能恢復(fù)v雙證書體系中的最終用戶的簽名證書的密鑰雙證書體系中的最終用戶的簽名證書的密鑰對在用戶端產(chǎn)生，加密證書的密鑰對在對在用戶端產(chǎn)生，加密證書的密鑰對在CA證證書認(rèn)證系統(tǒng)產(chǎn)生并備份，加密證書的私鑰丟書認(rèn)證系統(tǒng)產(chǎn)生并備份，加密證書的私鑰丟失可恢復(fù)失可恢復(fù)證書私鑰泄露或丟失怎辦？證書私鑰泄露或丟失怎辦？v通過證書吊銷列表通過證書吊銷列表(Certificate Revocation List, CRL)定期發(fā)布定期發(fā)布v通過證書狀態(tài)查詢服務(wù)在線查詢通過證書狀態(tài)查詢服務(wù)在線查詢(Online Certificate Status Protocol

33、, OCSP)CA證書認(rèn)證系統(tǒng)證書認(rèn)證系統(tǒng)證書簽發(fā)系統(tǒng)證書簽發(fā)系統(tǒng)KMCLDAPOCSP密鑰庫密鑰庫用戶證書用戶證書CA證書證書CRLLDAPRA注冊系統(tǒng)注冊系統(tǒng)CA中心系統(tǒng)中心系統(tǒng)OCSP：Online Certificate Status ProtocolLDAP：Lightweight Directory Access ProtocolRA：Registration AuthorityKMC：Key Management CenterCA證書認(rèn)證系統(tǒng)證書認(rèn)證系統(tǒng)證書簽發(fā)系統(tǒng)證書簽發(fā)系統(tǒng)KMCLDAP密鑰庫密鑰庫用戶證書用戶證書CA證書證書CRLLDAPRA注冊系統(tǒng)注冊系統(tǒng)CA中心系統(tǒng)中心

34、系統(tǒng)OCSPCA證書認(rèn)證系統(tǒng)證書認(rèn)證系統(tǒng)證書簽發(fā)系統(tǒng)證書簽發(fā)系統(tǒng)KMCLDAPOCSP密鑰庫密鑰庫用戶證書用戶證書CA證書證書CRLLDAPRA注冊系統(tǒng)注冊系統(tǒng)CA中心系統(tǒng)中心系統(tǒng)證書有效性驗(yàn)證步驟證書有效性驗(yàn)證步驟v構(gòu)造證書鏈或路徑構(gòu)造證書鏈或路徑v確定證書鏈或路徑是否鏈接或到達(dá)一個(gè)可信確定證書鏈或路徑是否鏈接或到達(dá)一個(gè)可信的的CA證書或可信的根證書或可信的根CA證書證書v對證書鏈或路徑上的每個(gè)證書包括最終實(shí)體對證書鏈或路徑上的每個(gè)證書包括最終實(shí)體證書和證書和CA證書進(jìn)行如下檢驗(yàn)證書進(jìn)行如下檢驗(yàn)證書是否在有效期證書是否在有效期證書是否已被吊銷證書是否已被吊銷證書簽名是否有效證書簽名是否有效v

35、除非安全要求很高的場合，通常不檢驗(yàn)除非安全要求很高的場合，通常不檢驗(yàn)CA證書是否證書是否吊銷，也不檢驗(yàn)最終實(shí)體證書是否已被吊銷吊銷，也不檢驗(yàn)最終實(shí)體證書是否已被吊銷如何獲得如何獲得CA證書？證書？v獲取最終實(shí)體證書時(shí)一起獲得獲取最終實(shí)體證書時(shí)一起獲得v從從CA認(rèn)證機(jī)構(gòu)的證書庫下載，或從指定的可認(rèn)證機(jī)構(gòu)的證書庫下載，或從指定的可信網(wǎng)站下載信網(wǎng)站下載v預(yù)埋在操作系統(tǒng)、密碼模塊或應(yīng)用系統(tǒng)的證預(yù)埋在操作系統(tǒng)、密碼模塊或應(yīng)用系統(tǒng)的證書庫中書庫中CA證書認(rèn)證機(jī)構(gòu)和證書認(rèn)證機(jī)構(gòu)和RA證書注冊機(jī)構(gòu)證書注冊機(jī)構(gòu)vCA證書認(rèn)證機(jī)構(gòu)證書認(rèn)證機(jī)構(gòu)通過運(yùn)行通過運(yùn)行CA證書認(rèn)證系統(tǒng)，為最終用戶或?qū)嶓w簽證書認(rèn)證系統(tǒng)，為最終

36、用戶或?qū)嶓w簽發(fā)數(shù)字證書的機(jī)構(gòu)發(fā)數(shù)字證書的機(jī)構(gòu)vRA注冊機(jī)構(gòu)注冊機(jī)構(gòu)提供證書簽發(fā)服務(wù)的機(jī)構(gòu)提供證書簽發(fā)服務(wù)的機(jī)構(gòu)v接收用戶的證書申請接收用戶的證書申請v鑒別最終用戶的身份信息的真實(shí)性鑒別最終用戶的身份信息的真實(shí)性v其就是他聲稱的本人其就是他聲稱的本人v通過通過RA證書注冊系統(tǒng)從證書注冊系統(tǒng)從CA證書認(rèn)證系統(tǒng)獲得證書并證書認(rèn)證系統(tǒng)獲得證書并發(fā)放給用戶發(fā)放給用戶CA證書認(rèn)證機(jī)構(gòu)可內(nèi)設(shè)證書認(rèn)證機(jī)構(gòu)可內(nèi)設(shè)RA注冊機(jī)構(gòu)注冊機(jī)構(gòu)CA和和RA的多重含義的多重含義vCACA證書認(rèn)證機(jī)構(gòu)證書認(rèn)證機(jī)構(gòu)CA證書認(rèn)證系統(tǒng)證書認(rèn)證系統(tǒng)CA證書及私鑰，即證書及私鑰，即CA證書認(rèn)證系統(tǒng)中的一個(gè)邏證書認(rèn)證系統(tǒng)中的一個(gè)邏輯實(shí)體輯

37、實(shí)體vRARA證書注冊機(jī)構(gòu)證書注冊機(jī)構(gòu)RA證書注冊系統(tǒng)證書注冊系統(tǒng)數(shù)字證書的常見應(yīng)用數(shù)字證書的常見應(yīng)用v系統(tǒng)登錄的身份鑒別系統(tǒng)登錄的身份鑒別(基于公鑰的身份鑒別基于公鑰的身份鑒別)，如雙向，如雙向SSL(Secure Socket Layer)v交易簽名交易簽名各國有相應(yīng)的電子簽名法保障其有效性各國有相應(yīng)的電子簽名法保障其有效性v數(shù)據(jù)加密，如電子郵件加密數(shù)據(jù)加密，如電子郵件加密基于生物特征的身份鑒別基于生物特征的身份鑒別v利用人的生物特征，如虹膜、指紋、面部相利用人的生物特征，如虹膜、指紋、面部相貌，進(jìn)行身份鑒別貌，進(jìn)行身份鑒別v具有唯一性和不可改變的特性具有唯一性和不可改變的特性v最大問題：

38、一旦泄露怎么辦？最大問題：一旦泄露怎么辦？Web信息系統(tǒng)用戶登錄鑒別信息系統(tǒng)用戶登錄鑒別(logon)與會(huì)話與會(huì)話(Session)維護(hù)機(jī)制維護(hù)機(jī)制Web信息系統(tǒng)的基本構(gòu)成信息系統(tǒng)的基本構(gòu)成瀏覽器瀏覽器Web服務(wù)器服務(wù)器靜態(tài)頁面靜態(tài)頁面應(yīng)用程序應(yīng)用程序動(dòng)態(tài)頁面運(yùn)行環(huán)境動(dòng)態(tài)頁面運(yùn)行環(huán)境(Web容器容器)動(dòng)態(tài)頁面動(dòng)態(tài)頁面執(zhí)行執(zhí)行裝載裝載主機(jī)操作系統(tǒng)主機(jī)操作系統(tǒng)提供服務(wù)端運(yùn)行環(huán)境提供服務(wù)端運(yùn)行環(huán)境接收接收HTTP請求、返回請求、返回HTTP響應(yīng)響應(yīng)如如IIS、Apache主機(jī)主機(jī)接收動(dòng)態(tài)頁面處理請求接收動(dòng)態(tài)頁面處理請求裝載、編譯動(dòng)態(tài)頁面，裝載、編譯動(dòng)態(tài)頁面，為動(dòng)態(tài)頁面提供運(yùn)行環(huán)境為動(dòng)態(tài)頁面提供運(yùn)行環(huán)

39、境ASP.NET、JSP/Servlet 、PHP等的運(yùn)行環(huán)境等等的運(yùn)行環(huán)境等常見的常見的JSP/Servlet Web容器：容器：Tomcat、Jboss、WebSphere、WebLogic、GlassFish、Oracle App ServerWeb信息系統(tǒng)登錄鑒別的常用方案信息系統(tǒng)登錄鑒別的常用方案vForm身份鑒別身份鑒別(表單身份鑒別表單身份鑒別)vHTTP身份鑒別協(xié)議身份鑒別協(xié)議v基于數(shù)字證書的基于數(shù)字證書的SSL雙向身份鑒別雙向身份鑒別v其他其他如，數(shù)字簽名如，數(shù)字簽名Form身份鑒別身份鑒別v利用利用HTML的的Form元素元素(表單表單)輸入用戶名、輸入用戶名、口令，并通過

40、口令，并通過HTTP傳輸協(xié)議提交傳輸協(xié)議提交v實(shí)施主體可以是實(shí)施主體可以是Web服務(wù)器、動(dòng)態(tài)頁面運(yùn)行服務(wù)器、動(dòng)態(tài)頁面運(yùn)行環(huán)境環(huán)境 (Web容器，或應(yīng)用服務(wù)器容器，或應(yīng)用服務(wù)器(Application Server)、Web應(yīng)用程序應(yīng)用程序v安全性安全性若采用靜態(tài)口令，易遭受猜測口令攻擊若采用靜態(tài)口令，易遭受猜測口令攻擊明文傳輸，易遭受嗅探攻擊、重播攻擊明文傳輸，易遭受嗅探攻擊、重播攻擊HTTP身份鑒別協(xié)議身份鑒別協(xié)議v針對針對HTTP傳輸協(xié)議專門制定的身份鑒別協(xié)議傳輸協(xié)議專門制定的身份鑒別協(xié)議v包括：包括：Basic、Digest、NTLM、Negotiate幾種方案幾種方案v實(shí)施主體可以是實(shí)

41、施主體可以是Web服務(wù)器、動(dòng)態(tài)頁面運(yùn)行服務(wù)器、動(dòng)態(tài)頁面運(yùn)行環(huán)境環(huán)境(Web容器或應(yīng)用服務(wù)器容器或應(yīng)用服務(wù)器)HTTP Basic身份鑒別方案身份鑒別方案v采用普通的靜態(tài)用戶名、口令方式采用普通的靜態(tài)用戶名、口令方式v明文傳輸用戶名、口令明文傳輸用戶名、口令v安全性安全性易遭受猜測口令攻擊易遭受猜測口令攻擊明文傳輸，易遭受嗅探攻擊、重播攻擊明文傳輸，易遭受嗅探攻擊、重播攻擊HTTP Basic身份鑒別方案身份鑒別方案瀏覽器瀏覽器Web服務(wù)器服務(wù)器/Web容器容器請求訪問請求訪問 HTTP/1.1 401 Unauthorized，包含頭部，包含頭部WWW-Authenticate: Basic

42、realm=“ttyyy” 再次提交請求，包含請求頭部再次提交請求，包含請求頭部Authorization: Basic base64(username:password)新提交請求，包含請求頭部新提交請求，包含請求頭部Authorization: Basic base64(username:password)返回請求響應(yīng)返回請求響應(yīng) 返回請求響應(yīng)返回請求響應(yīng) HTTP Digest身份鑒別方案身份鑒別方案v基于用戶名、口令的挑戰(zhàn)基于用戶名、口令的挑戰(zhàn)-響應(yīng)方式響應(yīng)方式(用口令用口令對挑戰(zhàn)碼進(jìn)行對挑戰(zhàn)碼進(jìn)行HASH)v安全性安全性比比Basic好好如果口令簡單，會(huì)遭受口令猜測攻擊如果口令簡單，

43、會(huì)遭受口令猜測攻擊HTTP Digest身份鑒別方案身份鑒別方案瀏覽器瀏覽器Web服務(wù)器服務(wù)器/Web容器容器請求訪問請求訪問 HTTP/1.1 401 Unauthorized，包含頭部，包含頭部WWW-Authenticate: Digest digest-challenge 再次提交請求，包含請求頭部再次提交請求，包含請求頭部Authorization: Digest digest-reponse(計(jì)數(shù)計(jì)數(shù))返回請求響應(yīng)返回請求響應(yīng) 返回請求響應(yīng)返回請求響應(yīng) 提交新請求，包含請求頭部提交新請求，包含請求頭部Authorization: Digest digest-reponse(計(jì)數(shù)計(jì)數(shù)

44、+1)HTTP NTLM身份鑒別方案身份鑒別方案v將將Windows早期的早期的NT LAN Manager (NTLM)的網(wǎng)絡(luò)登錄方案移植到的網(wǎng)絡(luò)登錄方案移植到Web系統(tǒng)系統(tǒng)v基于用戶名、口令的挑戰(zhàn)基于用戶名、口令的挑戰(zhàn)-響應(yīng)方案響應(yīng)方案(用口令用口令對挑戰(zhàn)碼進(jìn)行對挑戰(zhàn)碼進(jìn)行HASH)v是基于是基于TCP連接的連接的Web身份鑒別方案身份鑒別方案HTTP NTLM身份鑒別方案身份鑒別方案瀏覽器瀏覽器Web服務(wù)器服務(wù)器/Web容器容器請求訪問請求訪問 HTTP/1.1 401 Unauthorized，包含頭部，包含頭部WWW-Authenticate: NTLM再次提交請求，包含請求頭部再次

45、提交請求，包含請求頭部Authorization: NTLM Base64編碼編碼Type1消息消息建立連接建立連接 HTTP/1.1 401 Unauthorized，包含頭部，包含頭部WWW-Authenticate: NTLM Base64編碼編碼Type2消息消息再次提交請求，包含請求頭部再次提交請求，包含請求頭部Authorization: NTLM Base64編碼編碼Type3消息消息HTTP Negotiate身份鑒別身份鑒別vNegotiate，可協(xié)商的身份鑒別，目前支持，可協(xié)商的身份鑒別，目前支持Kerberos和和NTLM兩種身份鑒別方案兩種身份鑒別方案v支持單點(diǎn)登錄支持

46、單點(diǎn)登錄(Single Sign On)HTTP Negotiate Kerberos瀏覽器瀏覽器Web服務(wù)器服務(wù)器/Web容器容器請求訪問請求訪問 HTTP/1.1 401 Unauthorized，包含頭部，包含頭部WWW-Authenticate: Negotiate再次提交請求，包含請求頭部再次提交請求，包含請求頭部Authorization: Negotiate base64編碼的編碼的Kerberos票據(jù)票據(jù)返回請求響應(yīng)返回請求響應(yīng) 返回請求響應(yīng)返回請求響應(yīng) 提交新請求，包含請求頭部提交新請求，包含請求頭部Authorization: Negotiate base64編碼的編碼的K

47、erberos票據(jù)票據(jù)HTTP Negotiate NTLM瀏覽器瀏覽器Web服務(wù)器服務(wù)器/Web容器容器請求訪問請求訪問 HTTP/1.1 401 Unauthorized，包含頭部，包含頭部WWW-Authenticate: Negotiate再次提交請求，包含請求頭部再次提交請求，包含請求頭部Authorization: Negotiate Base64編碼編碼Type1消息消息返回請求響應(yīng)返回請求響應(yīng) HTTP/1.1 401 Unauthorized，包含頭部，包含頭部WWW-Authenticate: Negotiate Base64編碼編碼Type2消息消息再次提交請求，包含請求

48、頭部再次提交請求，包含請求頭部Authorization: Negotiate Base64編碼編碼Type3消息消息基于數(shù)字證書的基于數(shù)字證書的SSL雙向身份鑒別雙向身份鑒別瀏覽器瀏覽器vSSL(Security Socket Layer)， TCP層的安層的安全傳輸協(xié)議，可單向和雙向身份鑒別，鑒別全傳輸協(xié)議，可單向和雙向身份鑒別，鑒別通過后建立安全傳輸通道通過后建立安全傳輸通道(加密通道加密通道)v雙向身份鑒別雙向身份鑒別客戶端用戶和服務(wù)端的服務(wù)器各有數(shù)字證書客戶端用戶和服務(wù)端的服務(wù)器各有數(shù)字證書采用基于公鑰技術(shù)的雙向身份鑒別采用基于公鑰技術(shù)的雙向身份鑒別服務(wù)器服務(wù)器Form+數(shù)字簽名數(shù)字

49、簽名v對客戶端用戶進(jìn)行身份鑒別對客戶端用戶進(jìn)行身份鑒別v客戶端用戶有數(shù)字證書客戶端用戶有數(shù)字證書v通過通過HTML/HTTP的的Form傳遞挑戰(zhàn)和響應(yīng)傳遞挑戰(zhàn)和響應(yīng)瀏覽器瀏覽器服務(wù)器服務(wù)器Web系統(tǒng)的會(huì)話維護(hù)機(jī)制系統(tǒng)的會(huì)話維護(hù)機(jī)制Web系統(tǒng)的會(huì)話系統(tǒng)的會(huì)話v會(huì)話會(huì)話(Session)是兩個(gè)端點(diǎn)之間的應(yīng)用層的邏輯是兩個(gè)端點(diǎn)之間的應(yīng)用層的邏輯連接連接v應(yīng)用系統(tǒng)通過會(huì)話機(jī)制來識別客戶端的用戶應(yīng)用系統(tǒng)通過會(huì)話機(jī)制來識別客戶端的用戶(邏邏輯連接輯連接)，以及維護(hù)用戶的信息，以及維護(hù)用戶的信息(如用戶是否已完如用戶是否已完成身份鑒別、用戶名是什么、有哪些權(quán)限等成身份鑒別、用戶名是什么、有哪些權(quán)限等)vWeb系統(tǒng)的傳輸協(xié)議系統(tǒng)的傳輸協(xié)議HTTP本身是無連接的傳輸本身是無連接的傳輸協(xié)議，既可以使用協(xié)議，既可以使用TCP也可以使用也可以使用UDP傳輸，傳輸， 同一個(gè)會(huì)話可以采用不同的同一個(gè)會(huì)話可以采用不同的TCP連接，連接，HTTP不不維護(hù)維護(hù)Web客戶端與客戶端與Web服務(wù)器之間的會(huì)話連接服務(wù)器之間的會(huì)話連接vWeb系統(tǒng)需要采用其他機(jī)制維護(hù)客戶端與服務(wù)端系統(tǒng)需要采用其他機(jī)制維護(hù)客戶端與服務(wù)端之間的會(huì)話，包括之間的會(huì)話，包括會(huì)話連接會(huì)話連接和和用戶信息用戶信息Web系統(tǒng)的會(huì)話連接維護(hù)機(jī)制系統(tǒng)的會(huì)話連接維護(hù)機(jī)制vHT